Эта книга содержит анализ недостатков в использовании кредитными организациями электронного банкинга, на основе которого предлагается новый подход к обеспечению их технологической надежности. Современная банковская деятельность полностью зависит от распределенных компьютерных систем, в состав которых все чаще входят системы электронного банкинга.
В то же время недостатки российского гражданского, финансового и, в том числе банковского законодательства ставят высокотехнологичные кредитные организации в сложные условия в плане обеспечения надежности предоставления банковских услуг и защиты интересов клиентов. Использованный в книге риск-ориентированный подход позволяет исключить негативное влияние таких недостатков на организацию дистанционного банковского обслуживания с учетом рекомендаций зарубежных органов банковского регулирования и надзора.
Книга может быть полезна представителям высшего руководства и менеджерам среднего звена кредитных организаций, а также студентам и аспирантам, интересующимся современными подходами к управлению банковскими рисками в условиях электронного банкинга.
Содержание:
-
Принятые сокращения 1
-
Введение - Актуальность и проблематика электронного банкинга 1
-
Глава 1 - Понятие и специфика технологий электронного банкинга 5
-
Глава 2 - Типичные банковские риски, ассоциируемые с применением технологий электронного банкинга 9
-
Глава 3 - Жизненные циклы банковских автоматизированных систем и внутрибанковских процессов 21
-
Глава 4 - Особенности корпоративного управления в условиях электронного банкинга 32
-
Глава 5 - Модернизация основных внутрибанковских процессов, связанных с электронным банкингом 43
-
Глава 6 - Управление web-отношениями кредитной организации 78
-
Перспективы развития электронного банкинга 83
-
Литература 84
-
Примечания 84
Л.В. Лямин
Применение технологий электронного банкинга:
риск-ориентированный подход
Принятые сокращения
DFD - ( Data Flow Diagram ) диаграмма потоков данных
DMZ - ( DeMilitarized /one) демилитаризованная зона
FFIEC - Федеральный совет по проверкам финансовых учреждений США
ОСС - Управление контролера денежного обращения США
SLA - ( Setyice Level Agreement) соглашение об уровне обслуживания
VPN - ( Virtual Private Network) виртуальная частная сеть
АПО - аппаратно-программное обеспечение
АРМ - автоматизированное рабочее место
АС - автоматизированная система
АСП - аналог собственноручной подписи
БАС - банковская автоматизированная система
БКБН - Базельский комитет по банковскому надзору
ВА - внутренний аудит
ВК - внутренний контроль
ГК РФ - Гражданский кодекс Российской Федерации
ДБО - дистанционное банковское обслуживание
ЖЦ - жизненный цикл
ЗВС - зональная вычислительная сеть
ЗСК - знай своего клиента
ИБ - интернет-банкинг
ИСУ - информационная система управления
ИТ - информационные технологии
ЛВС - локальная вычислительная сеть
НСД - несанкционированный доступ
ОИБ - обеспечение информационной безопасности
ОЭСР - Организация экономического сотрудничества и развития
ПИО - программно-информационное обеспечение
ПОД/ФТ - противодействие отмыванию денег и финансированию терроризма
ППР - поддержка принятия решений
ПСИ - приемо-сдаточные испытания
РМВ - реальный масштаб времени
СБ - служба безопасности
СБР - системный банковский риск
СВК - служба внутреннего контроля
СОР - система оценивания рисков
СЭБ - система электронного банкинга
ТБР - типичный банковский риск
ТЭБ - технология электронного банкинга
ТЭО - технико-экономическое обоснование
УБР - управление банковскими рисками
УРСИТ - универсальная рейтинговая система для информационных технологий
ФМ - финансовый мониторинг
ЭБР - элементарный банковский риск
Введение
Актуальность и проблематика электронного банкинга
Если вы не знаете как это делать, не делайте этого.
Б. К. С. Айенгар
Во всем мире кредитные организации сталкиваются с двумя принципиальными проблемами, которые им приходится решать при разработке и реализации своих стратегических и бизнес-планов, а именно:
- снижение себестоимости банковской деятельности;
- занятие лидирующих позиций на финансовых рынках.
Поскольку набор финансовых услуг, предоставляемых кредитными организациями, всегда строго регламентируется национальным банковским законодательством, а операционные нововведения быстро становятся общедоступными, получить конкурентные преимущества за счет варьирования состава, расширения или модернизации банковских услуг оказывается затруднительным. В публикациях, относящихся к вопросам современного финансового обслуживания, часто отмечается, например, что "компании, которые хотят выжить в современном мире, должны стремиться к использованию новых технологий для достижения конкурентных преимуществ" . К тому же в условиях российского банковского законодательства, которое до сих пор остается в стадии становления, такие нововведения могут неожиданно выйти за границы так называемого "правового поля", а это чревато финансовыми потерями не только из-за их возможной нерентабельности (население в большинстве своем либо насторожено относится к нововведениям, либо не обладает необходимой компьютерной грамотностью), но также из-за возрастания уровня правового риска (непосредственного и опосредованного - через другие банковские риски). Поэтому в настоящее время кредитные организации в конкурентной борьбе на рынках предоставления финансовых услуг фактически вынуждены внедрять все новые банковские компьютерные (информационные) технологии, что в условиях функционирования российского банковского сектора практически всегда означает внедрение новых технологий дистанционного банковского обслуживания, или, иначе говоря, технологий "электронного банкинга", - этот англоязычный термин стал общепринятым. В итоге к концу первого десятилетия XXI в. это направление банковской деятельности включило уже около двух десятков вариантов такого предоставления банковских услуг, о чем свидетельствуют результаты первого сплошного анкетирования в этой области, проведенного Банком России . Также к этому времени не осталось сомнений в том, что основной функцией кредитных организаций постепенно становится преимущественно дистанционное финансовое посредничество.
Следует сразу отметить то, что в собственно банковскую деятельность кредитных организаций в ее операционном понимании электронный банкинг изначально ничего нового не внес. Однако в том, что касается способов и условий осуществления этой деятельности, особенно в части организации реализующих и обеспечивающих ее технологических процессов (внутрибанковских и внешних), их аппаратно-программного обеспечения (как самих кредитных организаций, так и их контрагентов), состава факторов и источников банковских рисков, а следовательно, содержания управления этими рисками, произошли радикальные изменения. Изучению этих изменений и подходам к их учету руководства кредитных организаций при определении им содержания и реализации внутрибанковских процессов (прежде всего управления банковскими рисками), составляющих их процедур и функций, а также взаимосвязей между ними в условиях применения электронного банкинга, посвящена эта книга.
Одно из главных отличий применения кредитными организациями технологий рассматриваемого типа от традиционных подходов к организации банковского обслуживания клиентов заключается в том, что клиенты, которые переходят к использованию таких технологий, после заключения ими договора банковского счета с кредитной организацией, дополнительного соглашения к этому договору о дистанционном банковском обслуживании и получения средств удаленного доступа к ее информационно-процессинговым ресурсам могут уже не являться в ее головной или дополнительный офисы (филиалы) для того, чтобы получить какую-либо банковскую информацию, или за выполнением требуемых им банковских операций, а работать в условиях, так сказать, "домашнего банка". По сути, удаленно взаимодействующие с кредитной организацией клиенты "превращаются" в своего рода разновидности банковских операционистов. Такие возможности для них создают новые банковские автоматизированные системы, реализующие технологии электронного банкинга, предлагая реальным и потенциальным клиентам кредитных организаций нетрадиционные варианты и возможности их внеофисного обслуживания или предоставления банковских услуг.
Обеспечиваемые при этом пользователям систем электронного банкинга удобства и гибкость получения ими банковских услуг привели к широкому распространению во всем мире таких технологий, как мобильные платежи и мобильный банкинги, естественно, российский банковский сектор не является исключением. Напротив, за последние несколько лет наблюдается "бум" внедрения технологий такого рода отечественными кредитными организациями, причем развитие их непосредственно следует за достижениями в области технологий компьютерной связи, - так появились, к примеру, системы Wi-Fi-банкинга. Фактически ни одно из подобных технологических и технических достижений современности не остается без внимания банковского сообщества, что не удивительно, учитывая обострение борьбы за клиентуру и рынки сбыта финансовых продуктов. Вместе с тем следует отметить, что большинство кредитных организаций не ограничивается лишь одним каналом дистанционного банковского обслуживания, наращивая "технологические мышцы" и вводя в эксплуатацию одну систему такого рода за другой.
Типичными примерами, судя по результатам анкетирования Банка России, уже стали кредитные организации, предлагающие по 3–4 варианта этих систем для юридических и физических лиц, для клиентов, предпочитающих мобильный банкинг или предоставление банковских услуг через Интернет (так называемый "интернет-банкинг"), для пользователей "наладонных" компьютеров, коммуникаторов или PDA (для которых организуются также специальные web-сайты) и т. п. Использование разнообразных телекоммуникационных сетей и систем вызвало к жизни управляемые через сеть Интернет (далее - Сеть) банкоматы, разнообразные системы мобильного (WAP-, SMS-, GSM-, GPRS-) и Wi-Fi-банкинга, POS-терминалы, и процесс этот, судя по всему, не прекратится до тех пор, пока существуют кредитные организации, конкуренция в банковской сфере, да и так называемый "научно-технический прогресс".
В то же время на мощной волне использования в банковской деятельности достижений в областях компьютерных и телекоммуникационных технологий существенно меняются способы и условия осуществления банковской деятельности. Речь, конечно, не идет о том, что применение таких технологий изменяет сущность банковской деятельности: в конце концов под электронным банкингом понимается не более чем некий новый "транспорт", обеспечивающий доступ клиента к вполне традиционным банковским продуктам и услугам, однако особенности этого транспорта таковы, что меняется характер банковского обслуживания, а отчасти и его содержание. То и другое в свою очередь существенно изменяет состав факторов и источников рисков, связанных с банковской деятельностью, из-за чего происходит смещение профилей риска кредитных организаций.
Необходимо отметить, что как отечественные, так и некоторые зарубежные кредитные организации, даже крупные, нередко демонстрируют недостаточное осознание этих изменений, придерживаясь своего рода "традиционных подходов" к пониманию содержания банковской деятельности, не замечая при этом, что времена уже наступили другие, а вместе с ними изменилось и само содержание. Этому, по-видимому, способствует и достаточно консервативный характер банковского сообщества в целом, в котором традиционно считается, что для высшего руководства кредитных организаций квалификация в области информационных технологий является лишь факультативной. Кстати сказать, во многих случаях отсутствие или неполнота осознания "нового времени" фактически закреплены в законодательстве, регламентирующем банковскую деятельность, и российское банковское (и в широком смысле финансовое) законодательство в этом смысле также не является исключением.
В российских условиях наиболее близким примером является, естественно, Федеральный закон от 2 декабря 1990 г. № 395-1 "О банках и банковской деятельности". В его содержании отсутствует то, о чем сказано в его названии, а именно - в нем нет определения банковской деятельности как таковой. Вместо этого в ст. 5 перечислены "банковские операции и другие сделки", к которым фактически сведено понятие "деятельности", т. е. изначально неясно, что именно следует понимать под банковской деятельностью. Можно заметить, что с содержательной точки зрения все кредитные организации (или хотя бы те, которые определяются как универсальные) выполняют примерно одни и те же операции и предоставляют сходные банковские услуги, однако способы осуществления и результаты их банковской деятельности могут оказаться принципиально различными (вплоть до отзыва лицензии на это осуществление). Таким образом, дело заключается не столько в операциях, сколько в способах и условиях их совершения, которые определяет руководство кредитной организации, и применение технологий электронного банкинга это подчеркивает (в основном именно за счет смещения профилей риска кредитных организаций).
Указанное недоразумение, на первый взгляд не очень важное, на практике приводило и приводит к возникновению немалого количества новых источников банковских рисков, которые традиционно с этой деятельностью не связывались, - в сфере технологий электронного банкинга это проявляется наиболее наглядно. Внедрение систем электронного банкинга всегда приводит к такому не всегда заметному смещению профилей рисков кредитных организаций, к чему многие из них на практике оказываются не готовы. Ситуация усугубляется еще и тем, что зачастую банковская деятельность (в широком смысле, как будет показано ниже) оказывается зависимой от сторонних компаний - провайдеров, о компьютерных и телекоммуникационных системах которых специалисты кредитных организаций могут не иметь необходимых для их надежного функционирования сведений. Следствием этого становятся крупные потери кредитных организаций и их клиентов из-за компьютерных мошенничеств и хищений, сетевых и вирусных атак, ошибок и инцидентов информационной безопасности, нарушений законодательства и других негативных явлений.
Кроме того, коль скоро банковская деятельность во многом уходит в "виртуальное киберпространство", могут обостриться и все аналогичные проблемы с инсайдерами кредитной организации, которые лучше всех информированы об особенностях функционирования ее автоматизированных систем. Поэтому разработка подходов к обеспечению надежной банковской деятельности в условиях применения кредитными организациями технологий электронного банкинга стала весьма актуальной, о чем также говорит эта книга.
Фактически системы электронного банкинга появились в российском банковском секторе довольно давно, еще в начале 90-х гг. прошлого века, только назывались они тогда системами "Банк - Клиент" и не имели разновидностей. Практически во всех случаях это были системы с так называемым "толстым клиентом", под которым понималось некое автоматизированное рабочее место с установленным на нем специализированным программным обеспечением для доступа к информационно-процессинговым ресурсам кредитной организации, служебными базами данных, средствами криптозащиты трафика, ограничения физического и логического доступа и т. д. Вопросы относительно банковских рисков, связанных с такими системами, как правило, не поднимались, поскольку все рисковые компоненты оставались на стороне клиента (естественно, юридического лица), и вообще в то время эти темы не обсуждались, потому что случаев несанкционированного доступа к упомянутым ресурсам было довольно мало.